Apache Log4j2拒絕服務(wù)攻擊

 漏洞資訊     |      2021-12-20

一、   漏洞描述

當(dāng)系統(tǒng)日志配置使用非默認(rèn)的模式布局和上下文查找時,攻擊者可以通過構(gòu)造包含遞歸查找數(shù)據(jù)包的方式,控制線程上下文映射 (MDC),導(dǎo)致StackOverflowError產(chǎn)生并終止進(jìn)程,實(shí)現(xiàn)拒絕服務(wù)攻擊。目前只有l(wèi)og4j-core JAR 文件受此漏洞影響。僅使用log4j-api JAR文件而不使用log4j-core JAR文件的應(yīng)用程序不受此漏洞的影響。

二、   漏洞詳情

CVE-2021-45105   : Apache Log4j2拒絕服務(wù)攻擊

CVE: CVE-2021-45105  

組件: Log4j

漏洞類型: 代碼問題

影響: 可導(dǎo)致拒絕服務(wù)

簡述: 見漏洞描述。

三、   影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

Log4j

2.0-beta9 <= Apache Log4j <= 2.16.0

Log4j 2.17.0(Java 8)

Log4j 2.12.2(Java 7)

四、   安全版本

見三

五、  安全建議

通用修補(bǔ)建議:

廠商已發(fā)布安全版本,用戶請盡快升級

https://github.com/apache/logging-log4j2/tags

臨時緩解措施:

在日志記錄配置的PatternLayout中,用線程上下文映射模式(%X、%mdc或%MDC)替換${ctx:loginId} 、$${ctx:loginId} 等涉及上下文查找的內(nèi)容。當(dāng)所使用諸如HTTP標(biāo)頭或用戶輸入等應(yīng)用程序外部的數(shù)據(jù)時,可以刪除對上下文查找的引用。